Apple will mehr Sicherheit bei SMS-Tokens für 2FA

SMS-Code im Browser extrahieren, Bild: Apple

Die Zwei-Faktor-Authentifizierung per SMS-Sicherheitscode soll sicherer werden. Jedenfalls wenn es nach Apples WebKit-Ingenieuren geht. Die erarbeiteten nun einen Standard. Den kann sich jeder auf GitHub anschauen. Als Autorin wird dort Theresa O’Connor genannt.

Denn zum jetzigen Zeitpunkt nutzen Anbieter viele unterschiedliche Formate. Das automatisierte Auslesen der Sicherheitscodes durch Apps oder Webseiten wird so deutlich erschwert.

Log-in-URL und Standard-Textformat

Apples Ingenieure schlagen nun vor einerseits den Log-in-URL in die Textnachricht zu integrieren. So kann man die Meldung eindeutig(er) identifizieren.

Zudem wollen sie die Textform dieser Nachrichten standardisieren, damit Apps das Format automatisch auslesen können.

Die Kurznachricht könnte wie folgt ausschauen:

„747723 is your WEBSITE authentication code.
@website.com #747723“.

Warum ist das sicherer?

Gerade die Automatisierung des Prozesses soll laut Apples Ingenieuren das Risiko minimieren auf Phishing-Versuche hereinzufallen.

Die erste Zeile der Nachricht ist für den Nutzer gedacht. Die zweite Zeile für den „Interpreter“.

Selbst wenn das Prozedere aus irgendeinem Grund nicht funktioniert, können Nutzer aber den URL der Webseite aus der Kurznachricht mit demjenigen vergleichen, der gerade im Browser sichtbar ist. Wenn beide nicht übereinstimmen, handelt es sich vermutlich um einen Phishing-Versuch.

Apple nutzt bereits Automatik

Mit macOS 10.14 und iOS 12 führte Apple bereits ein Verfahren ein, das Sicherheitscodes aus SMS für die Zwei-Faktor-Authentifizierung unmittelbar extrahiert und dann im Browser weiterverarbeitet. Dazu ist allerdings zwingend die Verwendung von Apples Safari notwendig und natürlich, dass das Betriebssystem den Sicherheitscode auch korrekt auslesen kann.